Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 12.1.2 HF1
F5 Networks BIG-IP Advanced Firewall Manager (AFM) < 13.0.0
F5 Networks BIG-IP Application Security Manager (ASM) < 12.1.2 HF1
F5 Networks BIG-IP Application Security Manager (ASM) < 13.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.4.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
Betroffene Plattformen:
F5 Networks BIG-IP Systeme
Mehrere Schwachstellen in verschiedenen Komponenten von BIG-IP-Produkten
betreffen auch den BIG-IP Advanced Firewall Manager (AFM), den BIG-IP
Application Security Manager (ASM) und das BIG-IP Protocol Security Module
(PSM). Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstellen für verschiedene Denial-of-Service (DoS)-Angriffe ausnutzen.
Eine der Schwachstellen ermöglicht dem Angreifer die Löschung beliebiger
Dateien auf betroffenen Systemen. Darüber hinaus existiert eine
Schwachstelle, die einem entfernten, einfach authentisierten Angreifer die
Eskalation seiner Privilegien ermöglicht.
Die Schwachstellen betreffen unterschiedliche Programmversionen der
betroffenen Produkte. Mit Ausnahme von CVE-2004-0790 können die
Schwachstellen durch Updates auf die Versionen 13.0.0 oder 12.1.2 HF1 von
BIG-IP AFM und BIG-IP ASM behoben werden. CVE-2004-0790 war bereits in
früheren Versionen der Software behoben, wurde aber durch eine Regression
mit dem Versionszweig 12.x wieder eingeführt und mit 12.1.2 HF1 und 13.0.0
HF1 behoben. Hier wird die neue Datenbankvariable 'Pva.ValidateTcpSeqInICMP'
eingeführt, welche die Verwundbarkeit durch die Schwachstelle mitigiert,
wenn sie auf 'true' gesetzt ist. Für einige FastL4-Verbindungen muss diese
allerdings auf 'false' gesetzt werden; solche Systeme bleiben durch
CVE-2004-0790 verwundbar. BIG-IP PSM 11.4.0 - 11.4.1 ist nur von
CVE-2017-9250 betroffen, dieses Produkt wird allerdings nicht mehr
unterstützt (End-of-Sale).
Weitere Informationen zu betroffenen Versionen finden sich in den
referenzierten Sicherheitshinweisen von F5 Networks.
Patch:
F5 Networks Security Advisory K23440942
https://support.f5.com/csp/article/K23440942
Patch:
F5 Networks Security Advisory K41107914
https://support.f5.com/csp/article/K41107914
Patch:
F5 Networks Security Advisory K51351360
https://support.f5.com/csp/article/K51351360
Patch:
F5 Networks Security Advisory K55792317
https://support.f5.com/csp/article/K55792317
Patch:
F5 Networks Security Advisory K82851041
https://support.f5.com/csp/article/K82851041
CVE-2017-9250: Schwachstelle in BIG-IP-Systemen ermöglicht Löschen
beliebiger Dateien
Durch einen nicht näher spezifizierten Mechanismus ist es einem entfernten,
nicht authentisierten Angreifer mit Zugang zum Configuration Utility oder zu
iControl (über REST und SOAP) möglich, beliebige Dateien betroffener Systeme
zu löschen.
CVE-2017-6137: Schwachstelle in Traffic Management Microkernel (TMM)
ermöglicht Denial-of-Service-Angriff
Während der SYN-Cookie-Schutzmechanismus der Software aktiviert ist, kann
die Verfügbarkeit des Traffic Management Microkernel (TMM) von F5
BIG-IP-Systemen auf bestimmten Plattformen in bestimmten Konfigurationen
unterbrochen werden. Ein entfernter, nicht authentisierter Angreifer kann
mit HIlfe spezieller Muster im Datenverkehr einen Denial-of-Service
(DoS)-Angriff ausführen.
CVE-2016-9253: Schwachstelle in Websocket ermöglicht
Denial-of-Service-Angriff
Die Verfügbarkeit virtueller Server, die Websocket-Datenverkehr verarbeiten,
lässt sich durch bestimmte Muster im Datenverkehr unterbrechen. Ein
entfernter, nicht authentisierter Angreifer kann dadurch einen
Denial-of-Service (DoS)-Angriff durchführen.
CVE-2016-9251: Schwachstelle in BIG-IP-Systemen ermöglicht
Privilegieneskalation
Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in
der REST-Schnittstelle von iControl ausnutzen, um seine Privilegien zu
eskalieren.
CVE-2004-0790: Schwachstelle in TCP/IP-Implementierung ermöglicht
Denial-of-Service-Angriff
Durch das Senden von gefälschten ICMP-Paketen, die einen ‘Hard Error’
anzeigen, kann ein Angreifer den Abbruch einer bestehenden TCP-Verbindung
erreichen (Denial-of-Service). Prinzipiell handelt es sich dabei um ein
standardkonformes Verhalten, so dass lediglich eine genauere Prüfung der
Konsistenz und des Absenders des Paketes vorgenommen werden kann, um
Angriffe dieser Art zu erschweren. Ein entfernter, nicht authentisierter
Angreifer kann einen Denial-of-Service Angriff durchführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0795/
F5 Networks Security Advisory K23440942:
https://support.f5.com/csp/article/K23440942
F5 Networks Security Advisory K41107914:
https://support.f5.com/csp/article/K41107914
F5 Networks Security Advisory K51351360:
https://support.f5.com/csp/article/K51351360
F5 Networks Security Advisory K55792317:
https://support.f5.com/csp/article/K55792317
F5 Networks Security Advisory K82851041:
https://support.f5.com/csp/article/K82851041
Schwachstelle CVE-2004-0790 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-0790
Schwachstelle CVE-2016-9251 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9251
Schwachstelle CVE-2016-9253 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-9253
Schwachstelle CVE-2017-6137 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6137
Schwachstelle CVE-2017-9250 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9250
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
